べからず集...べからず集 車載器編 ~失敗しないための事例集~ ver. 1.0...
TRANSCRIPT
べからず集
車載器編
~失敗しないための事例集~
Ver. 1.0
【付属書】
CCDS セキュリティガイドライン WG
車載器 SWG
ii
変更履歴 No. 頁 変更内容
(変更箇所は、▲と No を記載 例:▲1)
種別
(追加/変更/修正
/削除)
担当者 発効日 Ver.
1 - 新規発行 三上 2017/05/29 1.0
iii
目次
1 はじめに ........................................................................................................................ 1
2 失敗しないための事例集 ............................................................................................... 2
� 01 パスワードは推測されにくいものになっていますか? .................................. 2
� 02 パスワードは変更できるようになっていますか? ......................................... 3
� 03 必要のない Telnet ポートは閉じていますか? ............................................... 4
� 04 外部からアクセス可能なデータについて、情報の種類毎による設定と
その設定に合ったアクセス制限が施されていますか? .................................. 5
� 05 バッファオーバーフローを発生させないようにしていますか? .................... 6
� 06 接続されている機器の実行権限をきちんと確認していますか? .................... 7
� 07 整備ツールや診断ツールが攻撃に使われることを前提に考えられてい
ますか? .......................................................................................................... 8
� 08 アフターマーケット機器を接続することで新たな脆弱性が付加される
可能性を認識していますか? ......................................................................... 9
� 09 電波が弱ければ大丈夫と思っていませんか? .............................................. 10
� 10 同じ暗号鍵を共通で使用していませんか? .................................................. 11
� 11 キーレスエントリーの ID コードが盗まれないと思っていませんか? ........ 12
� 12 Bluetooth での接続は安全だと過信していませんか? ................................. 13
� 13 自動車内部で使う無線通信に暗号化を忘れていませんか? ......................... 14
� 14 車載器に認証なしに簡単にアクセスできるようになっていませんか? ....... 15
� 15 ジャミングされるという可能性を考えていますか? .................................... 16
� 16 運転支援システムに使うセンサ情報は信頼できますか? ............................ 17
� 17 車外からの不必要な通信に対してオープンな接続になっていませんか? ... 18
� 18 遠隔からの攻撃に対する脆弱性が高まっていることを認識していますか? 19
� 19 つながれる機器のセキュリティレベルが低い場合があることを認識し
ていますか? ................................................................................................ 20
� 20 外部から攻撃を受けても、システムの安全性が確保できるようになっ
ていますか? ................................................................................................ 21
参考文献 ............................................................................................................................. 22
1
1 はじめに
本付属書は、車載セキュリティで留意すべきことや、ついついやってしまいがちなことを事
例集としてまとめたものである。
昨年リリースした「製品分野別セキュリティガイドライン:車載器編」では、車載器やシス
テムの開発に関わる企業の開発者を主な対象として、車載器において適切なセキュリティ対策
を実施するためのガイドラインを18項目の指針という形でまとめた。また、脅威事例の評価
に必要なリスク評価手法を調査し、国内外の発表文献から集めた脅威事例を使い、実際にリス
ク評価を行い傾向分析の結果を示した。しかしながら、具体的な対策等を示したガイドライン
とはなっておらず、指針をもとに何をしたらよいかがイメージしにくいものであった。
そこで、過去に起こった車載器に対する攻撃事例や IT 分野の事例から、脆弱性のもととな
った失敗事例を参考に、「べからず集:車載器編 ~失敗しないための事例集~」としてまと
めた。「製品分野別セキュリティガイドライン:車載器編」と合わせ、付属書として本書を活
用していただきたい。
2
2 失敗しないための事例集
� 01 パスワードは推測されにくいものになっていますか?
「製品分野別セキュリティガイドライン:車載器編」で行ったリスク評価の傾向分析では、
「不正利用」のリスク値が高めにでる傾向があった。「不正利用」の脅威は、なりすましや機
器の脆弱性に対する攻撃により、正当な権限を持たない者に自動車システムの機能を利用され
る脅威である。その際、攻撃者はパスワードを狙う可能性が高い。パスワードを攻撃者に知ら
れてしまうと、なりすましは容易である。そのため、少なくとも設計の段階で、推測されやす
いパスワードや短いパスワードの設定を回避する対策等が必要である。また初期パスワードの
まま使い続けないことや、定期的なパスワードの変更をユーザに推奨する等の配慮も必要であ
る。
【失敗事例】
電気自動車の専用アプリの脆弱性を利用し、インターネット経由で、他人の自動車のエ
アコンやファンを作動させたり、運転履歴を取得したりした事例 [1]。専用アプリの API
には認証の仕組みが実装されておらず、個々の自動車に割り当てられた車両識別番号の下
5 ケタさえ分かれば自動車にアクセスし制御することができた。
3
� 02 パスワードは変更できるようになっていますか?
更新の手間や管理の容易さの面から固定パスワードを利用する場合も多いが、一度パスワー
ドが知られてしまうと、正規ユーザと同じ権限を持つこととなり不正利用をゆるしてしまう。
また、パスワードをハードコードすると、それらの情報を攻撃者にさらしてしまう危険性があ
り、パスワードの漏えいにつながるため注意が必要である。
【失敗事例】
PHEV 車に搭載された無線 LAN アクセスポイントのパスワードが、単純で非常に短い
ため容易に解読可能であった。このためモバイルアプリで遠隔操作できる機能がハッキン
グされ、車のライトやエアコンを付けたり盗難警報を解除された[2]。この事例では無線
LAN アクセスポイントのパスワードが変更できない仕様になっていたため、当面の対策
としてモバイルアプリの使用停止をユーザに注意喚起するしかなかった。
4
� 03 必要のないTelnetポートは閉じていますか?
IoT 機器がマルウェアに感染し、大規模ボットネットに組み込まれ、「DDoS 攻撃」(分散型
サービス妨害攻撃)の踏み台に使用されるという事例が近年増加している。これらのケースで
は、IoT 機器自体が直接被害を受けていないため、ユーザは感染したことに気づかず、知らぬ
間にサーバ攻撃の踏み台として利用されていた。マルウェアに感染した IoT 機器は、家庭用ル
ータ、ネットワークカメラ、デジタルビデオレコーダ等であるが、インターネット経由でデー
タの送受信を行う IoT 機器全般で起こり得ることであり、車載器も例外ではない。
マルウェアに感染して攻撃の踏み台とならないためには、Telnet ポートや SSH ポート等、
必要のないポートは閉じて、デフォルトのままユーザ名やパスワードを使わない等の注意が必
要である。
【失敗事例】
2016 年 9 月に発生した史上空前の DDoS 攻撃では、不十分な IoT 機器のセキュリティ
を悪用してマルウェアを感染させ、攻撃の踏み台として利用した。これらの踏み台にされ
た IoT 機器では、Telnet ポートを開いたままにしており、「root」とか「admin」等良く
使われるパスワードをデフォルトのまま使っていた。このマルウェアは初期設定で良く使
用されるユーザ名とパスワードのリストを持っており、Telnet ポートを使用する IP アド
レスをランダムにスキャンし、脆弱な IoT 機器を見つけ出してはマルウェアを拡散させて
いた [3]。
5
� 04 外部からアクセス可能なデータについて、情報の種類毎による設定とその設
定に合ったアクセス制限が施されていますか?
車載器の場合、一般の顧客がアクセス可能な情報以外に、カーディーラー等の保守員がアク
セスするメインテナンス情報や、開発者が扱う設計情報等がある。これらの情報に対しては、
情報の種類毎にアクセス制限を設け、適切な関係者のみ閲覧できるようにする必要がある。
【失敗事例】
情報の種類毎にアクセス制限を設けていなかった為、元従業員によって無断で顧客情報
18 万件及び営業の秘密情報が不正に社外に持ち出され、インターネット上にその情報が
公開されてしまった [4]。
6
� 05 バッファオーバーフローを発生させないようにしていますか?
バッファオーバーフローは、処理すべきデータや処理した後のデータを保持するために確保
されたメモリ領域(バッファ領域)に、大量のデータを入力することで、用意された領域以外
のメモリ領域まで上書きされ、プログラムが誤動作を起こす脆弱性のことである。この脆弱性
はセキュリティホールの原因ともなり、ワームや不正アクセスに利用され、深刻な事態に発展
する恐れがある。
車載器の設計段階において、バッファオーバーフローを避けるには、入力されたデータをバ
ッファに書き込む前に、データサイズがバッファサイズを超えていないことを確認する等の注
意が必要である。
【失敗事例】
2000 年 1 月、科学技術庁のホームページが乗っ取られ、Web サイトが書換えられる事
件が起こった [5]。この事件を皮切りに多くの省庁や関連機関のサイトが同様の攻撃を受
け内容を改ざんされた。これらの事件ではバッファオーバーフローを用いて悪意のあるプ
ログラムをサーバに侵入させ、管理者権限で実行中のアプリケーションからそのプログラ
ムから呼び出すことで、管理者権限を奪取し Web サイトを改ざんした。
7
� 06 接続されている機器の実行権限をきちんと確認していますか?
「製品分野別セキュリティガイドライン:車載器編」で行ったリスク評価の傾向分析では、
「who 誰がつなげたか」の傾向分析において、「サービス事業者」のリスク値が高めに出る傾
向があった。「サービス事業者」はメーカーが設計時に想定していないつながりのため、リス
クの想定をしていない場合が多い。その様な状況であるにも関わらず、ディーラや保険会社、
中古車販売業者等が、自社のサービスに利用するため独自の機器を接続し使用する場合も多い。
したがって、保守やメインテナンス等で使用する機器との接続も含め、接続されている機器の
実行により重大なインシデントに繋がる可能性のある場合は、接続される機器の正当性や実行
権限の確認、実行のための多重認証等を設ける等の配慮が必要である。
【失敗事例】
2010 年 3 月、米国テキサス州オースチンで、中古車販売業者が設置した遠隔イモビラ
イザーを悪用し、突然 100 台以上の自動車のエンジンがかからなくなったり、警告ホーン
が鳴り続け止められなくなったりする事件が発生した [6]。この販売店がローン販売した
自動車には、返済が滞ったユーザに自動車を利用させなくするために遠隔イモビライザー
が装着されていた。この遠隔イモビライザーは、その販売店の従業員が操作用のパソコン
を使って Web サーバにアクセスすれば集中的に停止処理を操作できた。この事件では解
雇された従業員が別の従業員の ID とパスワードを入手して不正に操作を行っていた [7]。
8
� 07 整備ツールや診断ツールが攻撃に使われることを前提に考えられていますか?
近年、整備業者や錠前関連業界から低価格の診断ツールを求める声に応じ、使いやすいアフター
マーケットプログラミングツールやサービスツールを低価格で開発・販売する新しい業界が誕生し
ている。現在では数多くのアフターマーケット診断装置やソフトウェアが独立系の自動車整備
業者によって使用されており、整備業者はこうしたツールを使い、車両の修理や整備、新しい
電子キーの登録やイモビライザコントロールユニットのプログラミング等を行っている。本来、
これらのツールは正しい利用目的で使用されるべきだが、ツールの正規販売代理店を通さなく
ても、インターネットオークションで購入することができ、これらのコピーツールまでもが安
価に出回っている。このように攻撃者が整備ツールや診断ツールを容易に入手することができ、
これらのツールを用いた攻撃も想定しておく必要がある。
【失敗事例】
2012 年 4 月、電子ロック式自動車の合鍵を作製する「イモビライザーテスター」と呼
ばれるツールが悪用され、自動車が盗まれる被害が日本で報じられた [8]。本来、このツ
ールはキーを紛失した場合に使用されるもので、盗難防止装置(イモビライザー)が装着
された自動車に、新たに電子キーのデータを登録することができる。
「イモビライザーテスター」の正規品は数十万円で販売されているが、最近では中国製
の類似品が数万円で販売されている。盗まれた自動車はいったんドアを開けられ、OBD-II
ポートにイモビライザーテスターを接続された後、合鍵が追加されていた [9] 。
9
� 08 アフターマーケット機器を接続することで新たな脆弱性が付加される可能性を
認識していますか?
近年、自動車の OBD-II 端子に接続し、燃費管理や安全運転評価を行う機器がいくつも販売
されおり、これらの機器の脆弱性を利用して攻撃を行う事例が報告されている。現在はカーナ
ビやドライブレコーダ等、多種多様なアフターマーケット機器を自動車に搭載することができ
るが、これらの機器を接続することで、新たな脆弱性が付加される可能性を認識する必要があ
る。
【失敗事例】
アメリカの保険会社が走行距離に応じた自動車保険サービスを展開しており、その保険
料算定ツールとして、OBD-II 端子に接続する装置を配布していた。この装置は携帯電話
網を使って利用者の運転情報を保険会社に送信する機能を持っていた。攻撃者はこの装置
の脆弱性を利用し、スマートフォンから特殊な SMS を送ることにより OBD-II 経由で車
内ネットワークに侵入し、ワイパーやブレーキを操作することに成功した [10]。
10
� 09 電波が弱ければ大丈夫と思っていませんか?
スマートキーシステムは、ポケットやカバンにキーを入れたまま、自動車に近づいたり、ド
アに触れたりするだけで開錠することが可能で、ハンドル部の鍵穴にキーを差し込むことなく、
エンジンを始動できる便利な仕組みである。高級車はもちろん、最近では大衆車にも装着され、
一般的な機能となっている。このスマートキー搭載車がハッキングされ、「信号増幅攻撃」と
いう手法で自動車が盗難される事例が報告されている [11]。
自動車が発信するスマートキー認証用の電波が微弱である為、車体周辺の狭く限られた範囲
しか電波は届かないから大丈夫という前提の裏を突いた攻撃手法である。
【失敗事例】
スマートキーシステムでは、自動車からの信号を受信したスマートキーが、自動車へ応
答信号を返すことで、正規のキーを持ったドライバーが自動車の周辺にいると認識し、ド
アの開錠やエンジンの始動を許可する仕組みである。この仕組みを悪用したのが「信号増
幅攻撃」で、自動車からの信号を増幅し、遠隔地のスマートキーの傍に信号を中継し、あ
たかもドライバーが自動車の周辺にいるように偽装してエンジンを始動させるという窃
盗手口である。
11
� 10 同じ暗号鍵を共通で使用していませんか?
欧州の大手自動車メーカーが 1995 年以降に販売したほぼ全ての自動車で、自動車のドアを
開錠するキーレスエントリーシステムの脆弱性が見つかった [12]。この事例では、過去 20 年
間に発売された約1億台の自動車で、キーレスエントリーシステムの暗号化通信に、わずか4
つの共通鍵を使用していた。共通鍵が判明しただけでは、容易にキーレスエントリーシステム
をハッキングできるわけではないが、1 億台にも及ぶ自動車が危険に晒される可能性があると
している。
【失敗事例】
研究者たちは自動車の内部ネットワーク内の部品をリバースエンジニアリングするこ
とで、何百万台の自動車で共有される暗号鍵を抽出できることを発見した。その後、無線
ハードウェアを使用しワイヤレスキーが発する信号を一度だけ盗聴することで、元のワイ
ヤレスキーのクローンを作成し、何度でも自動車のドアを施錠・解錠することができた。
12
� 11 キーレスエントリーのIDコードが盗まれないと思っていませんか?
自動車のキーレスエントリーシステムでは、送信機から送信された固定の ID コードを傍受
し、傍受した ID コードを再送信することにより不正に解錠し、自動車に侵入する攻撃が行わ
れた。この攻撃に対する対策として、ローリングコードによるセキュリティ方式が多くの自動
車メーカーで採用されるようになった。ローリングコードによるセキュリティ方式は、送信す
る ID コードを毎回変化させ、攻撃者に傍受されたとしても、次で使えないという仕組みを用
いて安全性を高めている。しかしながら、この安全と考えられていた方式も、安価なツールで
コードを盗み解錠できることが発表された。
この攻撃の対策としては、キーレスエントリーシステムが生成する開錠用コードに有効期限
を設け、短期で使用できなくする方法が有効であると知られており、この問題に気が付いてい
るメーカーから、対策されたキーレスエントリーシステムを搭載した車種も既に出されている。
【失敗事例】
DEF CON23 で米国のセキュリティ研究者が自動車のキーレスエントリーを破るツー
ルを発表した [13]。このツールは自動車のユーザがドアを開錠するためにリモコンキーの
ボタンを押すと、リモコンキーの電波が自動車に到達するのを妨害すると同時に、1 回目
の開錠用コードを傍受し記録する。ユーザは開錠を妨害されているので 1 回目はドアを開
けられず、もう一度リモコンキーのボタンを押して開錠を試みる。するとツールは 1 回目
の開錠用コードを自動車に送信すると同時に、2 回目の開錠用コードを傍受し記録する。
この結果、自動車のユーザは正常に開錠できたと思い込まされ、2 回目の開錠用コードが
盗まれたことに気が付かない。ユーザが自動車を離れた後、攻撃者はツールに記録した 2
回目の開錠用コードを使って自動車に侵入することができる。自動車のユーザに 2 回開錠
操作を行わせるだけで、攻撃者はドア開錠用コードを簡単に入手することができる。
13
� 12 Bluetoothでの接続は安全だと過信していませんか?
Bluetooth は数m~数 10m程度の比較的近距離にある機器間の通信に使用されるワイヤレ
ス技術であり、パソコンや PDA、スマートフォン等に搭載され、周辺機器も含め広く普及し
ている。しかしながら、これらの機器で利用されている Bluetooth 技術に脆弱性が多数存在す
ることが指摘されている [9]。Bluetooth のプライバシと接続認証は一定のセキュリティを保
持するが、そのプロトコルについては脆弱性が報告されており、対策としては遅れを取ってい
る。そのような状況であるにも関わらず、医療機器や車載器にも利用されるようになり、これ
らを利用する場合には、セキュリティを考慮した利用方法を意識しなければ、極めて深刻な事
態も起こり得る可能性がある。
【失敗事例】
サイバーセキュリティとハッキングの会議である GrrCON 2012 にて、Chris Roberts
氏はオスロ市街地に駐車してあったタクシーの車列で、Bluetooth の PIN を解読して接続
し、特定の CAN バスメッセージを送り、タクシーのトランスミッションをニュートラル
にすることができるという報告をした [14]。
14
� 13 自動車内部で使う無線通信に暗号化を忘れていませんか?
TPMS(Tire Pressure Monitoring System)はタイヤ空気圧監視システムのことで、タイヤ
の空気圧を監視し、無線通信を利用して車体側の受信機に情報を送り、運転手に異常を知らせ
るシステムである。2007 年から米国では TREAD 法により TPMS の装着が義務化され、その
後、欧州、韓国でも自動車に搭載することが義務化されている。通常、車車間や路車間で無線
通信を行う場合は、通信を暗号化する等セキュリティを考えた通信を行う。TPMS のように自
動車内部の非常に狭い範囲で使用する無線通信であっても、傍受や悪用されることを想定しセ
キュリティ面での対応を行う必要がある。
【失敗事例】
TPMS の脆弱性を指摘する論文が 2010 年に米国で発表された [15]。論文では TPMS
の無線通信を解析し、以下の 3 点について指摘した [16]。
1.TPMS では通信メッセージは暗号化されていないため、盗聴・解析が容易。
2.タイヤのバルブに装着した空気圧測定装置は 32bit の固有の ID を持つとともに自
動車本体から 40m 離れても無線通信が可能であった。このことから路肩や高架橋等
で測定すれば、特定の自動車がいつ通過したかを記録することができる。
3.TPMS の空気圧報告メッセージになりすますことができ、いつでも警告灯を点灯さ
せることができる。
15
� 14 車載器に認証なしに簡単にアクセスできるようになっていませんか?
自動車にカメラが搭載され様々な用途に利用されている。バックモニター等の安全確認や運
転支援用途だけでなく、ドライブレコーダのように車載カメラで撮影された映像や音声等を記
録として残す機能を持つものもある。
ドライブレコーダは事故の際の情報記録用途だけでなく、ドライブ中の走行映像を録画し、
動画サイトにアップしたりして楽しむ人が増え、業務用途だけでなく一般にも普及し始めてい
る。中にはスマートフォンに専用アプリをダウンロードし、スマートフォンから Wi-Fi 経由で
撮影済みの映像を確認できる機能を搭載した機種もある。これらの機器に遠隔から簡単にアク
セスできると、記録された映像や音声を通じ個人情報の漏洩につながる恐れがある。
【失敗事例】
米国で、ある自治体の警察用パトロールカーのビデオレコーダの映像記録が、車載の無
線 LAN アクセスポイントと FTP サーバを経由して漏洩する問題があった。車載ビデオ
レコーダの記録映像が、内蔵している FTP サーバを通じて認証なしで取り出せるように
なっていることが原因だった。記録映像には、停車させられた自動車のナンバーや、取り締
まりを受けた市民の顔等が含まれていると考えられ、プライバシ情報の漏えいや、犯罪等への
関与を疑われる等の誤解につながる可能性がある [17]。
16
� 15 ジャミングされるという可能性を考えていますか?
南アフリカでは、ユーザの不注意を利用し、「RF ジャマー」を使った自動車の盗難が増加し
ている。「RF ジャマー」とは、自動車のスマートキーが使う周波数と同じ周波数帯を使う家庭
用の一般的なリモートコントローラ(車庫の開閉に使用するコントローラ等)を用いて、スマ
ートキーからの信号をジャミングし、自動車の施錠をブロックするもの。スマートキーが使う
周波数を、攻撃者がジャミングに使いにくい周波数帯に変えるか、施錠確認をキー自体にフィ
ードバックする等の対策が考えられる [17]。
【失敗事例】
スマートキーを用いてドアロックをする際、ドアロックが成功したことを確かめるには、
目視でウィンカーの点滅やドアロック時の音を確認するか、ドアノブを操作して施錠の確
認を行う。しかしながら、つい慣れによりこれらの確認をせず、スマートキーを操作した
だけでドアロックができたと思い込むことがある。
「RF ジャマー」により自動車の施錠をブロックされているときに、このようにドアロ
ックの確認を怠ると、施錠をしないまま自動車を離れることになる。この結果、攻撃者の
自動車への侵入を許し、車内に置いてあったノートパソコンや携帯電話、現金といった貴
重品を盗まれることになる。最悪の場合、自動車そのものが盗まれてしまう。
17
� 16 運転支援システムに使うセンサ情報は信頼できますか?
近年、ドライバーの安全運転や運転操作ミス軽減をサポートするため運転支援システムを搭
載した自動車が増えている。既に自動ブレーキ、アダプティブ・クルーズ・コントロール、レ
ーンキープアシスト、横滑り防止装置、車庫入れサポート、斜め後方の車両検知警報、急発進
抑制装置、走行中のふらつき警報等の技術が実用化されている。これらの技術にはカメラやミ
リ波レーダ、超音波センサ等が用いられ、これらのセンサからの情報をもとに運転をサポート
している。今後、より高度な自律運転技術を搭載した自動車へと進化していくなら、これらセ
ンサ情報の信頼性が重要となり、外部からの攻撃に対するセンサのセキュリティリスクを考え
る必要がある。
【失敗事例】
DEF CON24 で中国の研究者が車載センサへの攻撃に関する発表をした [18]。運転支
援システムを搭載した Audi、Volkswagen、Tesla、Ford の車を使い、ミリ波レーダ、超
音波センサ、前方監視カメラの各センサに対し、非接触型の攻撃を行い検証した。各セン
サのセキュリティを検証するため、ジャミング攻撃による妨害に対する耐性や、やなりす
まし攻撃による機器の誤動作や誤検出を測定した。検証の結果、これらのセンサに対して
ジャミング攻撃やなりすまし攻撃が行われることで、自動車システムに障害が発生しクラ
ッシュや被害につながる可能性を指摘している。
Major ADAS sensor types and typical vehicle positions [19]
18
� 17 車外からの不必要な通信に対してオープンな接続になっていませんか?
ワシントン大学の Kohno 准教授らは 2011 年の Kohno 論文 [20]で、現代の自動車には広
範囲な攻撃経路があり、これらを間接的な物理アクセス、短距離無線アクセス、および長距離
無線アクセスの3つのカテゴリに大別し自動車の脅威モデルを作って分析している。この中で、
CD プレーヤー、Bluetooth、携帯電話等を介して、遠隔からの攻撃が可能なことを発見した。
論文では「我々は自動車の外部とのインターフェイスが、迷惑な通信に対してオープンになっ
ていることに驚いた。その結果、攻撃を受ける経路が大幅に広がった。」と述べている。
【失敗事例】
ワシントン大学 Kohno 准教授らは 2011 年の Kohno 論文で遠隔から車載 LAN に任意
のコマンドを注入することに成功している。具体的には、携帯電話網を経由して遠隔から
自動車のテレマティクス端末に 3G の音声回線経由でアナログモデム接続し、CAN
(Controller Area Network)バスにコマンドを中継する IRC クライアントソフトウェアを
実行させた。その後遠隔から IRCチャットの形で IRCクライアントに命令し、任意のCAN
メッセージを CAN バスに注入した。 2011 年の Kohno 論文では実際の試験は行われて
いないが、CAN バスへの制御命令によりほとんどの制御が可能だと指摘している [21]。
19
� 18 遠隔からの攻撃に対する脆弱性が高まっていることを認識していますか?
2016 年 3 月、米連邦捜査局(FBI)は米運輸省道路交通安全局と共同で「自動車は遠隔からの
サイバー攻撃に対してますます脆弱性が高まっている」という報告を行った [22]。この報告の
中で、現代の自動車は安全性や利便性の向上のため新しい接続技術が導入され、新しい機能を
提供するアフターマーケット機器も外部との接続機能を持つなど、自動車と外部との接続性向
上によるサイバーセキュリティの脅威に警告を発している。
この報告書の中で、脆弱性は自動車の無線通信機能や、USB/Bluetooth/Wi-Fi 経由で自動車
に接続される携帯電話やタブレット等のモバイル端末や、ODB-II の診断ポートを介して車両
に接続されるサードパーティー製の端末に内在する可能性を指摘している。攻撃者はこれらの
脆弱性を悪用して攻撃をしかけ、車両の制御ネットワークや車両に保存されたデータに遠隔で
アクセスする可能性がある。
【失敗事例】
米連邦捜査局(FBI)の報告書には最近の遠隔操作の悪用例が記載されていた。研究者が、
購入した自動車の無線モジュールの複数の脆弱性を特定し、セルラー方式の無線通信機能
とユーザがオプションで利用可能なWi-Fiホットスポット通信機能を対象とした攻撃法を
開発した。Wi-Fi 経由の攻撃は、自動車から約 100 フィート以内の範囲に限られていたが、
セルラー方式による接続であれば、研究者は通信事業者の全国ネットワークのどこからで
も、自動車と通信し攻撃を行うことができた。更にこの無線モジュールは自動車の CAN
バスに接続されており、以下に記載の不正操作に成功した。通信事業者は報告が発表され
る前に車両通信で用いられる特定ポートへのアクセスを遮断したが、結果的に自動車メー
カーは約 150 万台のリコールを行った。
� 対象車両が低速(時速 5~10 マイル)で走行中の場合:
・エンジンの停止
・ブレーキの無効化
・ステアリング
� 対象車両が任意の速度で走行中の場合:
・ドアのロック
・ウィンカー
・タコメーター
・ラジオ、HVAC(冷暖房空調設備)、GPS
20
� 19 つながれる機器のセキュリティレベルが低い場合があることを認識しています
か?
IoT 機器は分野毎に必要とされる安心・安全レベルが異なり、機器毎にもセキュリティ対策
の実施レベルが異なる。自分たちの開発している車機器に対して十分なレベルのセキュリティ
対策を施したとしても、接続される機器に脆弱性があると弱いところから攻撃され、想定した
セキュリティレベルを担保できない。機器同士が連携してサービスされる IoT の時代には、シ
ステム全体のセキュリティレベルを、一番低いレベルの機器に合わせざる得ないことを考える
必要がある。
【失敗事例】
欧州の車メーカーが、特定のアプリを使って Wi-Fi 経由で車のデータをダウンロードで
きるサービスを開始した。このシステムにでは、車のデータにアクセス可能な Wi-Fi ルー
タが組み込まれており、初期設定のパスワードは車の車両識別番号 (VIN) だった。この
システムを利用すれば、自動車の走行速度、平均燃費量、次回のオイル交換や保守サービ
スまでの日数等、スマートフォンから自動車に接続して 20 種類以上のパラメータを読み
取ることができるだけでなく、自動車の所有者をこのシステムから締め出すことさえ可能
なことが判明した [23]。
安心・安全
安心・安全
A分野機器
C分野機器
B分野機器
①分野毎に、必要とされる安心・安全レベルが異なる
安心・安全
必要なレベル
実際のレベル
必要なレベル
実際のレベル
必要なレベル
実際のレベル
連携 連携
②連携時には低いレベルに合わせざるを得ない
必要な安心・安全レベル
実際の安心・安全レベル
機器ごとに求められるセキュリティ対策と実施レベルに差がある
21
� 20 外部から攻撃を受けても、システムの安全性が確保できるようになっています
か?
2011 年 11 月に自動車の電気・電子システムに求められる機能安全の国際規格 ISO26262 が
リリースされた。機能安全は、「ある機能・部品が故障したとしても、システムの安全性を確
保する」という考え方で、部品の故障だけでなく、「誤操作時の安全性確保」の考え方も含む。
自動車は衝突防止ブレーキ等の運転支援システムの搭載で、電子システムが自動車制御の主
要機能を担うような制御の高度化や高性能化が進んでいる。今後、自動運転の実現に向けて更
に高度な制御システムや車外との通信機能が搭載されていくとすると、故障や誤操作による機
能安全面での対応だけでなく、これらのシステムや機能が外部から攻撃を受けても、システム
全体の安全性を確保できるよう、セキュリティ面での対応が必須となる。
【失敗事例】
Black hat USA 2016 での Charlie Miller 氏と Chris Valasek 氏の報告 [24] によると、
自動車に対する遠隔攻撃の最終目標は、自動車のネットワークに CAN メッセージを注入
することによる物理的な制御だが、強制的に実行できるアクションには多くの制限がある。
例えば自動車が特定の速度以下でないと、ブレーキを無効にしたりステアリングを回した
りすることができない等である。そこで両氏は、パーキングアシストシステムや車間距離
調節機能を利用し、これらの制限の多くを回避することで、自動車の制動、ステアリング、
および加速システムを制御する CAN メッセージ注入の新しい方法を実証した。
22
参考文献
[1] Leo Kelion, “Nissan Leaf electric cars hack vulnerability disclosed,” BBC News
Release, 24 Feb. 2016.
http://www.bbc.com/news/technology-35642749.
[2] BBC, “Mitsubishi Outlander hybrid car alarm ‘hacked’,” BBC News Release, 6 Jun.
2016.
http://www.bbc.com/news/technology-36444586.
[3] @IT(atmarkIT), “大規模 DDoS 攻撃を引き起こした IoT ボットネット,” アイティメディ
ア株式会社(ITmedia, Inc.), Manuscript, Nov. 2016.
http://www.atmarkit.co.jp/ait/articles/1611/08/news028.html.
[4] ScanNetSecurity, “元従業員が顧客情報 18 万件超を無断で社外に持ち出し、ネット上で閲
覧可能な状態に,” 株式会社イード(IID, Inc.), Manuscript, Feb. 2016.
https://scan.netsecurity.ne.jp/article/2016/02/03/38054.html.
[5] N. Takahasi, “官公庁、Yahoo!、Amazon.com を襲った手口,” 株式会社日経 BP, ITPro,
Manuscript, Mar. 2000.
http://www.webdbm.jp/column2009/column2009-03/2330/.
[6] K. Poulsen, “Hacker Disables More Than 100 Cars Remotely,” Conde Nast
Publications, WIRED, Manuscript, Mar. 2010.
http://www.wired.com/threatlevel/2010/03/hacker-bricks-cars/.
[7] IPA, “2010 年度 自動車の情報セキュリティ動向に関する調査報告書,” 独立行政法人情
報処理推進機構, Security Report, p. 15, Apr. 2011.
https://www.ipa.go.jp/files/000014119.pdf.
[8] SBD ジャパン, “自動車診断ツールが盗難に悪用,” 有限会社 SBD ジャパン, Manuscript,
May 2012.
http://www.sbdjapan.co.jp/日本-自動車診断ツールが盗難に悪用-2/.
[9] IPA, “2012 年度 自動車の情報セキュリティ動向に関する調査,” 独立行政法人情報処理推
進機構, Security Report, pp. 19-20, May 2013.
https://www.ipa.go.jp/files/000027274.pdf.
[10] 東京海上日動リスクコンサルティング株式会社, “自動車に対するサイバー攻撃の危険性
と対策(第 2 報),” Tokio Marine Nichido, リスクマネジメント最前線 2016-No2,
Manuscript, Jan. 2016.
http://www.tokiorisk.co.jp/risk_info/up_file/201601251.pdf.
[11] 株式会社 OSA, “スマートキーをハックして遠隔チームプレイで手際よく高級車を盗み出
す驚愕の手口が明らかに,” GIGAZINE, Manuscript, Mar. 2016.
http://gigazine.net/news/20160324-car-smartkey-amplifier-attack/.
23
[12] A. Greenberg, “A New Wireless Hack Can Unlock 100 Million Volkswagens,” Conde
Nast Publications, WIRED, Manuscript, Aug. 2016.
https://www.wired.com/2016/08/oh-good-new-hack-can-unlock-100-million-volkswa
gens/.
[13] S. Kamkar, “Drive it like you hacked it,” DEF CON® 23 Hacking Conference,
Manuscript, Aug. 2015.
https://samy.pl/defcon2015/2015-defcon.pdf.
[14] C. Roberts, “By Land, By Sea, By Air,” GrrCON 2012-Cyber Security Summit &
Hacker Conference, YouTube, Manuscript, Nov. 2012.
http://www.youtube.com/watch?v=H0F2J_Xh6MA.
[15] I. Rouf, R. Miller, H. Mustafa, and et al., “Security and Privacy Vulnerabilities of
In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study,” Rutgers
University, Manuscript, Aug. 2010.
http://www.winlab.rutgers.edu/~gruteser/papers/xu_tpms10.pdf.
[16] IPA, “IPA テクニカルウォッチ「自動車の情報セキュリティ」に関するレポート,” 独立
行政法人情報処理推進機構, Security Report, p. 10, May 2012.
https://www.ipa.go.jp/files/000024748.pdf.
[17] IPA, “2011 年度 自動車の情報セキュリティ動向に関する調査,” 独立行政法人情報処
理推進機構, Security Report, pp. 21-23, May 2012.
https://www.ipa.go.jp/files/000014164.pdf.
[18] C. Yan, W. Xu. and J. Liu, “Can You Trust Autonomous Vehicles: Contactless
Attacks against Sensors of Self-driving Vehicle,” DEF CON® 24 Hacking
Conference, Manuscript, Aug. 2016.
https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/
DEFCON-24-Liu-Yan-Xu-Can-You-Trust-Autonomous-Vehicles-WP.pdf.
[19] R. Staszewski, and H. Estl, “Making cars safer through technology innovation-White
Paper,” Texas Instruments Inc., Manuscript, Oct. 2013.
http://www.ti.com/lit/wp/sszy009/sszy009.pdf.
[20] S. Checkoway, D. McCoy, and et al., “Comprehensive Experimental Analyses of
Automotive Attack Surfaces,” CAESS-UCSD and UW, Manuscript, Jun. 2011.
http://www.autosec.org/pubs/cars-usenixsec2011.pdf.
[21] IPA, “2011年度自動車の情報セキュリティ動向に関する調査-付録編,” 独立行政法人情
報処理推進機構, Security Report, p. 16, May 2011.
https://www.ipa.go.jp/files/000014165.pdf.
[22] 米連邦捜査局(FBI), “Motor Vehicles Increasingly Vulnerable to Remote Exploits,”
Federal Bureau of Investigation, Internet Crime Complaint Center, Alert Number
I-031716-PSA, Public Service Announcement, Press Release, 17 Mar. 2016.
https://www.ic3.gov/media/2016/160317.aspx.
24
[23] Trend Micro, “あなたのスマートカーは情報を公開しすぎていませんか?,” IoT Trend
Micro Inc., Security Headlines, Manuscript, Jul. 2016.
https://www.trendmicro.com/jp/iot-security/special/20.
[24] C. Miller, and C. Valasek, “Advanced CAN Injection Techniques for Vehicle Networks,”
Black Hat USA 2016, Manuscript, Aug. 2016.
https://www.blackhat.com/us-16/briefings/schedule/#advanced-can-injection-techni
ques-for-vehicle-networks-4149.